12.4、11.9、10.14、9.6.19、9.5.23 リリース

harukat2020/08/17 (月) - 10:03 に投稿

2020年 8月 13日、PostgreSQLのマイナーバージョンアップ 12.4、11.9、10.14、9.6.19、9.5.23 がリリースされました。また、13 beta3 もリリースされました。

バグ修正のリリースとなります。以下ページに詳しいリリース内容説明があります。

https://www.postgresql.org/about/news/2060/

以下のセキュリティ修正が含まれます。

  • CVE-2020-14349: Uncontrolled search path element in logical replication.
    • 10.x、11.x、12.x バージョン系列で該当します。
    • 以前の CVE-2018-1058 に対する修正でクライアントプログラム側で search_path のサニタイズを行うようになっていましたが、論理レプリケーションについて対応されていませんでした。本修正で対応されました。
  • CVE-2020-14350: Uncontrolled search path element in CREATE EXTENSION.
    • 全バージョン系列で該当します。
    • 拡張のインストール時にsearch_pathを使った攻撃の余地があり、contrib として付属している拡張のインストールスクリプトがいくつか修正されました。

タグ